Google, Oluşturulan Kritik Chrome Güvenlik Açığını Yamadı

Google, Oluşturulan Kritik Chrome Güvenlik Açığını Yamadı

Google kısa bir süre önce 124 sürümünde dört güvenlik açığını ele alan bir Chrome güncellemesi duyurdu; bunlardan en ciddisi ANGLE grafik katmanı motorunda CVE-2024-4058 olarak adlandırılan kritik bir tür karışıklık hatasıdır.

Bu kritik güvenlik açığı, keyfi kod yürütme veya minimum kullanıcı etkileşimi ile sanal alandan kaçma amacıyla uzaktan istismar edilebileceğinden önemlidir. Ayrıca, bu güncelleme iki yüksek önem derecesine sahip sorun için düzeltmeler içermektedir: V8 API'sinde sınır dışı okuma içeren CVE-2024-4059 ve Dawn bileşeninde serbest kullanımdan sonra kullanım sorunu olan CVE-2024-4060.

CVE-2024-4058'in keşfi, kendilerini hem eğlence hem de kazanç için güvenlik açıklarını ortaya çıkarmaktan ve kullanmaktan hoşlanan deneyimli bilgisayar korsanları olarak tanımlayan bir grup olan Qrious Secure'a atfedildi. Katkılarından dolayı Google kendilerine 16.000 dolar ödül verdi. Qrious Secure'un Google ile bir geçmişi var, daha önce bu yılın başlarında diğer önemli Chrome güvenlik açıklarını bildirmişlerdi-CVE-2024-0517 ve CVE-2024-0223, her ikisi de yamalandı. Bu önceki güvenlik açıkları sırasıyla uzaktan kod yürütülmesine izin veriyor ve doğrudan JavaScript'ten GPU ayrıcalıkları sağlayabiliyordu.

CVE-2024-4058'in kritik niteliğine rağmen, Google bu açığın ürün ortamın aktif olarak kullanıldığını bildirmemiştir. Chrome'da tür karışıklığı hataları nadir değildir ve genellikle V8 JavaScript motorunda bulunurken, bu özel hata farklı bir bileşeni etkilemektedir.

Etkilenen Sistemler

124.0.6367.78'den önceki versiyonlar

IoC’ler

-

Çözüm Önerileri

Stable kanalı Windows ve Mac için 124.0.6367.78/.79 sürümüne güncellenmiştir. Linux sürümü 124.0.6367.78 önümüzdeki günlerde/haftalarda kullanıma sunulacaktır.

Tedbirler

-

CVE / CWE

CVE-2023-36735

Ek Bilgiler

• https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_24.html
• https://securityaffairs.com/162259/security/google-chrome-critical-flaw.html

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.